Lanzamiento de SQL

SQL Slammer es un gusano informático de 2003 que provocó una denegación de servicio en algunos hosts de Internet y redujo drásticamente el tráfico general de Internet y colapsó los enrutadores en todo el mundo. Se propagó rápidamente, infectando a la mayoría de sus 75.000 víctimas en 10 minutos.

El programa aprovechó un error de desbordamiento de búfer en los productos de base de datos SQL Server y Desktop Engine de Microsoft. Aunque el parche MS02-039 se había lanzado seis meses antes, muchas organizaciones aún no lo habían aplicado.

Las regiones más infectadas fueron Europa, América del Norte y Asia (incluido el este de Asia y el sur de Asia (India), etc.).

Detalles técnicos

El gusano se basó en un código de prueba de concepto demostrado en Black Hat Briefings por David Litchfield, quien inicialmente había descubierto la vulnerabilidad de desbordamiento de búfer que explotaba el gusano. Es un pequeño fragmento de código que no hace más que generar direcciones IP aleatorias y enviarse a sí mismo a esas direcciones. Si una dirección seleccionada pertenece a un host que está ejecutando una copia sin parches del Servicio de resolución de Microsoft SQL Server escuchando en el puerto UDP 1434, el host se infecta de inmediato y comienza a rociar Internet con más copias del programa gusano.

Las PC domésticas generalmente no son vulnerables a este gusano a menos que tengan MSDE instalado. El gusano es tan pequeño que no contiene código para escribirse en el disco, por lo que solo permanece en la memoria y es fácil de eliminar. Por ejemplo, Symantec proporciona una utilidad de eliminación gratuita, o incluso se puede eliminar reiniciando SQL Server (aunque es probable que la máquina se vuelva a infectar de inmediato).

El gusano fue posible gracias a una vulnerabilidad de seguridad de software en SQL Server de la que Microsoft informó por primera vez el 24 de julio de 2002. Microsoft dispuso de un parche durante seis meses antes del lanzamiento del gusano, pero muchas instalaciones no lo habían hecho. parcheado, incluidos muchos en Microsoft.

El gusano comenzó a notarse a principios del 25 de enero de 2003, ya que ralentizaba los sistemas en todo el mundo. La desaceleración fue causada por el colapso de numerosos enrutadores bajo la carga del tráfico de bombardeo extremadamente alto de los servidores infectados. Normalmente, cuando el tráfico es demasiado alto para que lo manejen los enrutadores, se supone que los enrutadores retrasan o detienen temporalmente el tráfico de la red. En cambio, algunos enrutadores fallaron (se volvieron inutilizables) y el "vecino" los enrutadores notarían que estos enrutadores se habían detenido y no deberían ser contactados (también conocido como "eliminados de la tabla de enrutamiento"). Los enrutadores comenzaron a enviar avisos a este efecto a otros enrutadores que conocían. La avalancha de avisos de actualización de la tabla de enrutamiento provocó que fallaran algunos enrutadores adicionales, lo que agravó el problema. Eventualmente, los enrutadores bloqueados' los mantenedores los reiniciaron, lo que provocó que anunciaran su estado, lo que provocó otra ola de actualizaciones de la tabla de enrutamiento. Pronto, una parte significativa del ancho de banda de Internet fue consumida por los enrutadores que se comunicaban entre sí para actualizar sus tablas de enrutamiento, y el tráfico de datos ordinario se ralentizó o, en algunos casos, se detuvo por completo. Debido a que el gusano SQL Slammer era tan pequeño en tamaño, a veces podía pasar cuando el tráfico legítimo no lo hacía.

Dos aspectos clave contribuyeron a la rápida propagación de SQL Slammer. El gusano infectó nuevos hosts a través del protocolo UDP sin sesión y todo el gusano (solo 376 bytes) cabe en un solo paquete. Como resultado, cada host infectado podría simplemente "disparar y olvidar" paquetes lo más rápido posible.